Versatile Board & Sicherheit im phpBB
Grösse
Obwohl die Datenmenge nun wirklich völlig irrelavant ist, ob ein Formun nun gut oder schlecht ist, hier die Grösse meines Boards ( phpBB, ein paar wenig Themes und ne Masse Hacks): 25 MB. Ausserdem wirst Du wonirgends eine so gute Community finden als hier. Ich bin auch als totaler Laie hier angefangen, hab aber durch die permanente Hilfe der anderen so viel gelernt, um meistens allein durchzukommen....
Hallo,
Sozusagen ein Belastungstest.
von den Funktionen her fast gleich
aber offensichtlich gibt es dafür keine Styles, und die Gestaltung ist beim phpbb eindeutig besser und übersichtlicher
was ist dann beim vbulletin "anders"?
Fazit: ich sage ihm, er soll nach Install. von htaccess nochmal probieren, das Board zu knacken (Version 2.0.3)
An Hacks habe ich folgende installiert:
LastVisit, member-of-mod, Junior-Admin-Panel, prune inactive users, account-activation-overview
diese dürften vermutlich kein Sicherheitsrisiko darstellen
Und noch was: heute hat er (der Webmaster) mir voller Stolz gemailt, daß er ohne Registrierung einen Beitrag schreiben konnte. Freu! Das ist js total unsicher!
Ganz einfach, dieses Forum ist halt einfach auf "alle" eingestellt.
Das wäre ungefähr so, als würde jemand auf phpbb.de kommen und sich beschweren, weil er ohne Registrierung einen Beitrag schreiben konnte.
das war wie gesagt eine 2.0.1 ohne irgendwelche Hacksja dann hatte er Zugriff auf die db (...)hacks
d.h. er könnte auch Zugriff auf die DB haben, ohne daß phpBB beteiligt ist?!desweiteren sollte auch der Server wo das ganze läuft richtig konfiguriert sein
er sagt, er würde sich bei Neuinstallation von sowas immer auch auf den nicht-legalen Hackerseiten umsehen, und versuchen, an Tools zu kommen, wie er das Teil knacken kann.Natürlich haben es diese "leute" auch geschaft das Forum zu knacken, (...) Wie dieser "Webmaster" das nun gemacht haben soll, weis ich net, und will ich auch net wissen.
Sozusagen ein Belastungstest.
stimmt. Er hat mich zwar nicht direkt um Hilfe gebeten, jedoch waren sie 1 1/2 Jahre lang nicht fähig, ein vernünftiges Forum zu installieren. Dann komme ich und mache einen Vorschlag (phpbb einführen), Reaktion "vielen dank für ihre tolle idee" und dann schaut er sich doch nach anderen Foren um. Das werde ich nicht mit mir machen lassen. Gut, daß der Webmaster auch einen Boss hat...Den Eindruck habe ich auch. Erst bittet er um Hilfe und dann weiß er alles besser. An deiner Stelle würde ich ihm einfach sagen wenn er von allem angeblich so viel Ahnung hat, kann er es ja selber machen. Ist zwar schade für dich weil du nichts lernst, aber so wie es jetzt läuft würde ich mir ziemlich verarscht vorkommen.
das Versatile sieht sehr nach einer phpbb-Imitation ausVielleicht gefällt ihm das Versatile Dingens besser
von den Funktionen her fast gleich
aber offensichtlich gibt es dafür keine Styles, und die Gestaltung ist beim phpbb eindeutig besser und übersichtlicher
steht das "v" bei vBulletin auch für versatile?Meint er aber vBulletin (http://www.vbulletin.com/), hat er wohl recht
was ist dann beim vbulletin "anders"?
Fazit: ich sage ihm, er soll nach Install. von htaccess nochmal probieren, das Board zu knacken (Version 2.0.3)
An Hacks habe ich folgende installiert:
LastVisit, member-of-mod, Junior-Admin-Panel, prune inactive users, account-activation-overview
diese dürften vermutlich kein Sicherheitsrisiko darstellen
Und noch was: heute hat er (der Webmaster) mir voller Stolz gemailt, daß er ohne Registrierung einen Beitrag schreiben konnte. Freu! Das ist js total unsicher!
Ganz einfach, dieses Forum ist halt einfach auf "alle" eingestellt.
Das wäre ungefähr so, als würde jemand auf phpbb.de kommen und sich beschweren, weil er ohne Registrierung einen Beitrag schreiben konnte.
vBulletin is was ganz anderes als Versatile. Es ist kostenpflichtig (und ned zu wenig), von diesem "Manko" abgesehen, ist es eigentlich das kompakteste Boardsystem.
..vielleicht sollte er sich erstma mit den Funktionen vertraut machen.
hmueller hat geschrieben:Und noch was: heute hat er (der Webmaster) mir voller Stolz gemailt, daß er ohne Registrierung einen Beitrag schreiben konnte. Freu! Das ist js total unsicher!
..vielleicht sollte er sich erstma mit den Funktionen vertraut machen.-
codemonkey
- Ehemaliges Teammitglied
- Beiträge: 3005
- Registriert: 13.10.2002 15:15
- Wohnort: Wilhelmshaven
- Kontaktdaten:
Hi
Muß auch mal meinen senf dazu geben, weil ich mich hier gleich tot lache:
1. Von der größe auf die sicherheit zu schließen indem man sagt je größer desto sicherer ist ja wohl der allergrößte schwachsinn den ich jemals gehört habe, das wäre als ob ich auf meinem router xfree, kde, gnome und sapdb installieren würde damit er größer is um dann sicherer zu sein. Andersum könnte man noch gelten lassen. Je kleiner desto besser wartbar als auch weniger chancen für sicherheitslöcher, so geht man bei jedem server system vor, also sag mir mal einer warum es bei nem board system anders sein soll.
2. Dieser "webmaster" ist wohl einer von der sorte die sich für die größten halten weil sie sich webmaster nennen können, so kommt mir das zumindest vor. Dabei sollte man diese Pfeife eher in die Kategorie script kiddie stecken.
So, jetzt lache ich weiter
Mfg
Jens Gutzeit
Muß auch mal meinen senf dazu geben, weil ich mich hier gleich tot lache:
1. Von der größe auf die sicherheit zu schließen indem man sagt je größer desto sicherer ist ja wohl der allergrößte schwachsinn den ich jemals gehört habe, das wäre als ob ich auf meinem router xfree, kde, gnome und sapdb installieren würde damit er größer is um dann sicherer zu sein. Andersum könnte man noch gelten lassen. Je kleiner desto besser wartbar als auch weniger chancen für sicherheitslöcher, so geht man bei jedem server system vor, also sag mir mal einer warum es bei nem board system anders sein soll.
2. Dieser "webmaster" ist wohl einer von der sorte die sich für die größten halten weil sie sich webmaster nennen können, so kommt mir das zumindest vor. Dabei sollte man diese Pfeife eher in die Kategorie script kiddie stecken.
So, jetzt lache ich weiter
Mfg
Jens Gutzeit
-
NS-6
- Ehemaliges Teammitglied
- Beiträge: 1440
- Registriert: 21.09.2002 13:13
- Wohnort: Bielefeld (NRW)
- Kontaktdaten:
Mein Gott noch mal. Dieser so gennante "webmaster" meint wohl, er sei der grösste. Da muss ich Jensemann schon recht geben, typischer fall von "skript-KIDDY" 
!!
Und von wegen "nicht legalen HAckerseiten", *lol* die kenne ich auch. Ich denke mal wer sich nen bissel mit dem "Internet" beschäftigt hat, weis wo man so etwas finde kann!
Und wen "er" phpBB.de net mag, dann soll er einfach ruhe geben und net so rum maulen.
Fazit: WENN man VON etwas KEINE ahnung HAT, einfach MAL die FRESSE hallten.
!! Und von wegen "nicht legalen HAckerseiten", *lol* die kenne ich auch. Ich denke mal wer sich nen bissel mit dem "Internet" beschäftigt hat, weis wo man so etwas finde kann!
Und wen "er" phpBB.de net mag, dann soll er einfach ruhe geben und net so rum maulen.
Fazit: WENN man VON etwas KEINE ahnung HAT, einfach MAL die FRESSE hallten.
Der Weg ist das Ziel
Lieblingszitat: "Be sure, your Config is Saved and Secure"
Blog von NastorSeriesSix
Lieblingszitat: "Be sure, your Config is Saved and Secure"
Blog von NastorSeriesSix
-
codemonkey
- Ehemaliges Teammitglied
- Beiträge: 3005
- Registriert: 13.10.2002 15:15
- Wohnort: Wilhelmshaven
- Kontaktdaten:
HILFE!
irgendwas scheint aber wirklich nicht zu stimmen!!
Gleich nach Installation des Boards hatte ich ein Forum eingerichtet und darin als "admin" einen Testbeitrag geschrieben.
Forenberechtigungen noch nicht verändert, also noch in der Grundeinstellung.
Heute sehe ich mir den Beitrag nochmal an, er wurde (von dem betreffenden Webmaster) geändert/editiert. Er schreibt im Beitrag "den Text kann ich ändern, und das ohne einzuloggen."
Wie kann das sein???
Denn selbst bei den niedrigsten Berechtigungseinstellungen kann ein Gast nicht die Beiträge des admin löschen.
Was ist das passiert, da scheint ja wirklich eine Lücke zu sein???[/b]
Das einzige, was sein könnte ist, das da noch Version 2.0.1 drauf war (weis ich nicht mehr so genau, ob ich den ersten Beitrag unter 2.0.1 oder schon unter 2.0.3 geschrieben habe). Wars ein Bug in der 2.0.1er??
irgendwas scheint aber wirklich nicht zu stimmen!!
Gleich nach Installation des Boards hatte ich ein Forum eingerichtet und darin als "admin" einen Testbeitrag geschrieben.
Forenberechtigungen noch nicht verändert, also noch in der Grundeinstellung.
Heute sehe ich mir den Beitrag nochmal an, er wurde (von dem betreffenden Webmaster) geändert/editiert. Er schreibt im Beitrag "den Text kann ich ändern, und das ohne einzuloggen."
Wie kann das sein???
Denn selbst bei den niedrigsten Berechtigungseinstellungen kann ein Gast nicht die Beiträge des admin löschen.
Was ist das passiert, da scheint ja wirklich eine Lücke zu sein???[/b]
Das einzige, was sein könnte ist, das da noch Version 2.0.1 drauf war (weis ich nicht mehr so genau, ob ich den ersten Beitrag unter 2.0.1 oder schon unter 2.0.3 geschrieben habe). Wars ein Bug in der 2.0.1er??
Hihmueller hat geschrieben:HILFE!
irgendwas scheint aber wirklich nicht zu stimmen!!
Gleich nach Installation des Boards hatte ich ein Forum eingerichtet und darin als "admin" einen Testbeitrag geschrieben.
Forenberechtigungen noch nicht verändert, also noch in der Grundeinstellung.
Heute sehe ich mir den Beitrag nochmal an, er wurde (von dem betreffenden Webmaster) geändert/editiert. Er schreibt im Beitrag "den Text kann ich ändern, und das ohne einzuloggen."
Wie kann das sein???
Eine lücke nicht, der admin wird nur sicherlich zugriff auf die Datenbank haben, da kann man natürlich alles ändern.
Ich mach dir mal nen vorschlag:
Ich installiere bei mir auf meinem webspace ein phpBB-2.0.3, poste hier die URL, dein webmaster soll dann mal versuchen das ding zu hacken. Ich werde keine .htaccess setzen und keine hacks installieren, ganz normale standard installation.
Sag mir bescheid wenn ich das machen soll, ist ne sache von minuten.
Mfg
Jens Gutzeit
:mrgreen:
ROFLABIC (Rolling on the floor and biting into the carpet)
Selten so gelacht, der 'Webmaster' scheint ja die größte Flachpfeife zu sein... ScriptKiddy, eindeutig.
Nicht nur, das er jetzt noch wehement versucht zu beweisen, das doch alles zu hacken ist, und er ja der Meister darin wäre... Selbstschutz ist das nicht mehr.
In ein phpBB 2.0.1 (sogar noch 2.0.2) reinzukommen ist wahrlich nicht schwer, man braucht ja nur die Security Bulletins kennen.
(Sogar in den CVS Checkins sind Hinweise, wenns denn zum Update kommt).
Ich möchte wirklich gerne sehen, wie er ein phpBB 2.0.3 ohne installierten Mods, und ohne das Ausnutzen von Sicherheitslücken im System selber klein kriegen möchte.
Der hat doch überhaupt keine Ahnung... nie so etwas unfähiges gesehen. Dann ist es mir doch sehr viel lieber, wenn man zugibt, daß eine oder andere nicht genau zu wissen, sich aber zumindest schlau macht.
Naja, ich werd noch 'n bisschen weiter lachen (moment, ich glaube ich brauch mehr Ganja.)...
cya Acyd Burn (Das mit dem Ganja hab ich nicht gesagt, das war mein Pferd)
ROFLABIC (Rolling on the floor and biting into the carpet)
Selten so gelacht, der 'Webmaster' scheint ja die größte Flachpfeife zu sein... ScriptKiddy, eindeutig.
Nicht nur, das er jetzt noch wehement versucht zu beweisen, das doch alles zu hacken ist, und er ja der Meister darin wäre... Selbstschutz ist das nicht mehr.
In ein phpBB 2.0.1 (sogar noch 2.0.2) reinzukommen ist wahrlich nicht schwer, man braucht ja nur die Security Bulletins kennen.
(Sogar in den CVS Checkins sind Hinweise, wenns denn zum Update kommt).Ich möchte wirklich gerne sehen, wie er ein phpBB 2.0.3 ohne installierten Mods, und ohne das Ausnutzen von Sicherheitslücken im System selber klein kriegen möchte.
Der hat doch überhaupt keine Ahnung... nie so etwas unfähiges gesehen. Dann ist es mir doch sehr viel lieber, wenn man zugibt, daß eine oder andere nicht genau zu wissen, sich aber zumindest schlau macht.
Naja, ich werd noch 'n bisschen weiter lachen (moment, ich glaube ich brauch mehr Ganja.
)... cya Acyd Burn (Das mit dem Ganja hab ich nicht gesagt, das war mein Pferd)
Meik Sievertsen - phpBB Development Team Leader
Strom | Gas | phpBB Services
Strom | Gas | phpBB Services
